Elegance

今天在看Wikipedia的條目時
域名伺服器快取污染
發現到原來除了DNS zone transfer以外，一般的DNS query也可以走TCP協定...
使用方法就是在指令後面加上 vc (virtual circuit)這個option.

在windows下可以用nslookup
nslookup -vc cnn.com 8.8.8.8

在Linux下可以用nslookup , dig

nslookup -vc cnn.com 8.8.8.8
dig +vc cnn.com 8.8.8.8

host指令好像就不行了..

開tcpdump或wireshark一看，通通都是tcp封包.

但是作業系統本身預設使用DNS還是丟udp封包

所以對岸那邊有人想試著改系統檔案，讓OS預設直接丟tcp封包
通過nslookup的-vc參數自動解析域名

這樣就會比較安全了!!

--2015新增--

不過後來我發現其實已經有個專門針對DNS cache poisoning的保護機制,這解法會比較專業.

叫做 DNSSEC

看起來有點複雜，

但它其實就是利用數位簽章的方法來確保DNS reply的完整性和不可否認性.

不過目前好像很少在用....